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Der HP ProtectTools Security Manager ist die Software, mit der 
Sie die Einstellungen fur HP ProtectTools Embedded Security 
konfigurieren konnen. Der Manager ist eine Schnittstelle (Shell), 
die auf die in der Embedded Security-Software verfiigbaren 
Optionen verweist. HP ProtectTools Embedded Security ist eine 
Software-Suite, die Funktionen wie das HP PSD (Personal Secure 
Drive, personliches sicheres Laufwerk), Verschliisselung/ TPM- 
Chip-Schnittstelle, Sicherheitsmigration, Archiverstellung und 
Kennwortsteuerung umfasst. 

Anforderungen 

Zur Nutzung dieser Sicherheitsfunktionen sind folgende Tools 
erforderlich: 

■ HP ProtectTools Embedded Security-Software 

■ HP ProtectTools Security Manager-Software 

■ HP ProtectTools Embedded Security-Chip (im System installiert) 

Informationen zum Einrichten der Embedded Security-Losung finden 
Sie unter „Einrichtungsverfahren" auf Seite 8. 
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Grundlegende Begriffe zu ProtectTools 
Embedded Security 

Dieser Abschnitt enthalt wichtige Informationen zu Begriffen, deren 
Verstandnis wichtig ist, um HP ProtectTools Embedded Security 
sowie den HP ProtectTools Security Manager zu verwenden. 

HP ProtectTools Embedded Security-Chip 

Der Embedded Security-Chip ist eine Hardware-Komponente, 
die Sicherheits- und Verschlusselungsfunktionen bietet sowie 
einen vor unbefugtem Zugriff sicheren Speicherbereich zum 
Schutz der offentlichen und privaten Schlussel bereitstellt. 
Der Chip wird werkseitig vorinstalliert. Der Zugriff auf den 
Chip oder seine Entfernung sollte ausschlieBlich durch einen 
Servicepartner erfolgen. 

Das PSD (Personal Secure Drive) 

Eine Embedded Security-Funktion ist das PSD (Personal Secure Drive, 
personliches sicheres Laufwerk). Das PSD ist ein virtuelles Laufwerk, 
das bei der Benutzerinitialisierung von HP ProtectTools Embedded 
Security auf der Festplatte erstellt wird. Dieses Laufwerk bietet einen 
geschiitzten Speicherbereich fur sensible Daten. Das PSD ermoglicht 
das Erstellen von Dateien und Ordnern und den Zugriff darauf, wie 
jedes andere Laufwerk auch. 

Fur den Zugriff auf das PSD benotigen Sie den physischen Zugang zu 
dem Computer, auf dem das PSD resident ist, sowie das PSD-Kennwort. 
Wenn Sie Ihr PSD-Kennwort eingeben, wird das PSD sichtbar, und 
Sie konnen auf die Dateien zugreifen. Die Dateien bleiben verfiigbar, 
bis Sie sich wieder abmelden. Dann wird auch das PSD automatisch 
ausgeblendet. Der Zugriff auf PSD-Laufwerke iiber ein Netzwerk ist 
nicht moglich. 

Auf dem PSD werden verschlusselte Daten gespeichert. Die dafiir 
verwendeten Schlussel werden auf dem HP ProtectTools Embedded 
Security-Chip gespeichert, sodass die Daten vor unbefugtem 
Benutzerzugriff geschiitzt und an den Computer gebunden sind. 
Dies bedeutet, dass der Zugriff auf die geschiitzten Daten nur auf 
dem Ziel-Computer erfolgen kann. 
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E-Mail 

Sichere E-Mail ist eine andere wichtige Funktion von Embedded 
Security. Diese Funktion ermoglicht den Austausch vertraulicher 
Informationen und stellt sicher, dass die Authentizitat der Informationen 
bei der Ubertragung erhalten bleibt. Sichere E-Mail ermoglicht Ihnen 
Folgendes: 

■ Wahl eines von einer Zertifizierungsbehorde ausgestellten 
Zertifikats auf der Basis eines offentlichen Schliissels 

■ Digitales Unterzeichnen von Mitteilungen 

■ Verschliisselung von Mitteilungen 

HP ProtectTools Embedded Security und der HP ProtectTools Security 
Manager erhohen die E-Mail-Sicherheit, indem sie zusatzlichen Schutz 
fur den Schlussel bieten, der zum Verschliisseln, Entschliisseln und 
digitalen Unterzeichnen von Mitteilungen verwendet wird. Diese Software 
erhoht die E-Mail-Sicherheit bei Verwendung folgender E-Mail-Clients: 

■ Microsoft Outlook Express (Version 4 oder hoher) 

■ Microsoft Outlook 2000 

■ Microsoft Outlook 2002 

■ Netscape Messenger 4.79 

■ Netscape Messenger 7.0 

Anleitungen zur Verwendung von E-Mail-Clients finden Sie in der Hilfe 
zur E-Mail-Integration von HP ProtectTools Embedded Security. 
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Verbessertes EFS (Encryption File System) 

Das Dateisystem EFS (Encryption File System, 
Verschliisselungsdateisystem) ist der unter Microsoft Windows 2000 
und Windows XP Professional verfiigbare Verschlusselungsdienst. 
EFS ermoglicht den Schutz der Daten durch folgendes Funktionsangebot: 

■ Verschliisselung von Dateien durch den Benutzer beim Speichern 
auf einen Datentrager 

■ Schneller und einfacher Zugriff auf verschliisselte Dateien 

■ Automatische (und transparente) Verschliisselung von Daten 

■ Befahigung des Systemadministrators zur Wiederherstellung von 
Daten, die von einem anderen Benutzer verschlusselt wurden 

HP ProtectTools Embedded Security und der HP ProtectTools Security 
Manager verbessern das Dateiverschliisselungssystem (EFS), indem 
sie zusatzlichen Schutz fur den Schlussel bieten, der zum Verschliisseln 
und Entschlusseln von Daten verwendet wird. 

Weitere Informationen zum EFS finden Sie in der Online-Hilfe zum 
Betriebssystem. 

Benutzer und Administratoren 
Benutzer 

Benutzer verfiigen iiber grundlegenden Zugriff auf Embedded 
Security und konnen folgende Aufgaben durchfiihren: 

■ Senden und Empfangen von verschliisselter E-Mail 

■ Verschliisseln von Dateien und Ordnern 

■ Initialisieren eines personlichen Basic-User-Schlussels 
(Standardbenutzerschliissel) 

■ Erstellen, Loschen oder Andern eines personlichen 
Benutzerkontos in Embedded Security 

■ Konfigurieren, Erstellen, Verwenden und Loschen eines 
PSD-Laufwerks 
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Administratoren 

Administratoren initialisieren die Embedded Security-Losung auf 
einem Computer und konnen folgende Aufgaben durchfiihren: 

■ Konfigurieren des lokalen Computers und der Benutzerrichtlinien 
fiir Embedded Security 

■ Vorbereiten von Benutzerschliisseln und Zertifikaten fiir die Migration 

■ Andern des Embedded Security-Besitzerkennworts 

■ Deaktivieren und Aktivieren von Embedded Security 

■ Autorisieren des Zielcomputers fiir die Migration von 
Benutzerschliisseln und Zertifikaten 

■ Wiederherstellen der mit Embedded Security gespeicherten 
und verschlusselten Daten 

Weitere Informationen zu Benutzern und Administratoren 
in Verbindung mit Embedded Security finden Sie in der 
Online-Hilfe zum Betriebssystem. Weitere Informationen 
zu Besitzern in Verbindung mit Embedded Security finden 
Sie in der Hilfe zu HP ProtectTools Embedded Security. 

Digitale Zertifikate 

Digitale Zertifikate sind eine Art elektronischer „Schliissel" zur 
Bestatigung der Identitat einer Person oder eines Unternehmens. 
Die Schlussel bestehen aus Zahlen oder Zeichenfolgen, die nur 
dem Absender und/oder dem Empfanger bekannt sind. Ein digitales 
Zertifikat authentifiziert den Zertifikatsbesitzer, indem es eine digitale 
Signatur bereitstellt, die seinen E-Mails hinzufiigt wird. 

Ein digitales Zertifikat wird von einer Zertifizierungsbehorde 
ausgestellt und enthalt folgende Informationen: 

■ den offentlichen Schlussel des Besitzers 

■ den Namen des Besitzers 

■ das Ablaufdatum des digitalen Zertifikats 

■ die Seriennummer des digitalen Zertifikats 

■ den Namen der Zertifizierungsbehorde, die das digitale Zertifikat 
ausgestellt hat 

■ die digitale Signatur der Zertifizierungsbehorde, die das digitale 
Zertifikat ausgestellt hat 
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Digitale Signatur 

Eine digitale Signatur gibt den Namen der Zertifizierungsbehorde an, 
die das digitale Zertifikat ausgestellt hat. Sie wird verwendet, um: 

■ die Identitat des Absenders eines digitalen Dokuments 
sicherzustellen 

■ zu beglaubigen, dass der Inhalt nicht geandert wurde, nachdem 
der Absender das Dokument digital unterzeichnet hat 

Weitere Informationen zu digitalen Signaturen finden Sie in der 
Online-Hilfe zum Betriebssystem. 

Offentlicher Schlussel und privater Schlussel 

Die asymmetrische Verschliisselung, das von Embedded Security 
verwendete Verfahren zur Verschliisselung von Daten, erfordert die 
Verwendung von zwei Schliisseln, einem offentlichen und einem 
privaten Schlussel. 

Ein offentlicher Schlussel kann ohne Einschrankung an viele Benutzer 
verteilt werden. Ein privater Schlussel dagegen wird nur von einem 
einzigen Benutzer verwendet. 

Um beispielsweise eine verschliisselte E-Mail zu senden, verwendet 
Benutzer A den (frei verfugbaren) offentlichen Schlussel von Benutzer B, 
um den Inhalt der fur Benutzer B bestimmten E-Mail zu verschlusseln. 
Da auBer Benutzer B keine andere Person iiber dessen privaten Schlussel 
verfiigt, kann nur er den Inhalt der E-Mail entschlusseln, die ihm 
Benutzer A gesandt hat. 

Technologie auf der Grundlage offentlicher Schlussel (Public-Key- 
Technologie) ermoglicht es, vertrauliche Informationen iiber offentliche 
Netzwerke zu ubertragen, die Authentizitat von E-Mails durch digitale 
Signaturen sicherzustellen und die Authentifizierung zwischen Server 
und Client zu erreichen. 
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Wiederherstellung im N off all 

Das vom Administrator beim Einrichten von Embedded Security 
erstellte Wiederherstellungsarchiv (Emergency Recovery Archive) 
ist eine Datei, in der sensible Informationen iiber den Computer 
und seine Benutzer gespeichert sind, sowie die privaten Schliissel, 
mit denen verschltisselte oder vertrauliche Daten geschiitzt werden. 
Bei einem Systemausfall werden diese Informationen benotigt, 
um den Zugriff auf geschiitzte Daten wiederherzustellen. 

Das ebenfalls vom Administrator bei der Einrichtung von Embedded 
Security erstellte Wiederherstellungs-Token (Emergency Recovery Token) 
ist eine Datei, in der die Schliissel gespeichert sind, die zum Schutz 
der Daten im Wiederherstellungsarchiv verwendet werden. Das Token 
ist fur den Zugriff auf das Archiv erforderlich. Der Zugriff auf das 
Wiederherstellungs-Token ist durch ein Kennwort geschiitzt. Dieses 
Kennwort wird fur den Fall benotigt, dass das Embedded Security- 
System wiederhergestellt werden muss. 

Richtlinien 

Richtlinien sind Regeln, die das Verhalten eines Computers oder 
eines Softwareprogramms bestimmen. Ein Systemadministrator 
defmiert in der Regel Sicherheitsrichtlinien, um die einheitliche 
Verwendung von Embedded Security im gesamten Unternehmen 
sicherzustellen. Die zwei Arten von Sicherheitsrichtlinien sind 
Computerrichtlinien und Benutzerrichtlinien. 

Computerrichtlinien 

Computerrichtlinien sind Regeln, die das Gesamtverhalten von 
Embedded Security im Hinblick auf einen bestimmten Computer 
bestimmen. 

Benutzerrichtlinien 

Benutzerrichtlinien sind Regeln, die die Rechte eines Benutzers von 
Embedded Security bestimmen. 

Weitere Informationen zu Computer- und Benutzersicherheitsrichtlinien 
fmden Sie in der Hilfe zu HP ProtectTools Embedded Security. 
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Einrichtungsverfahren 

Befolgen Sie die unten aufgefiihrten Schritte, um den Embedded 
Security-Chip mithilfe von Computer Setup (F10) im System-BIOS 
zu aktivieren und zu initialisieren. 



AACHTUNG: Um ein Sicherheitsrisiko auszuschalten, empfiehlt HP die 
sofortige Initialisierung des Embedded Security-Chips durch eine von 
Ihrem Unternehmen autorisierte Person (siehe Schritt 4) . Wenn der 
Embedded Security-Chip nicht initialisiert wird, besteht die Gefahr, dass 
ein unbefugter Benutzer, ein Computerwurm oder ein Computervirus sich 
des Systems bemachtigen kann. 



Das BIOS-Supervisor-Kennwort muss in Computer Setup 
eingerichtet werden, bevor der Chip konfiguriert werden kann. 
Weitere Informationen fmden Sie im Computer Setup (F10) Utility 
Handbuch auf der Documentation CD, die im Lieferumfang des 
Computers enthalten ist. 



Aktivieren des Chips 

1. Schalten Sie den Computer ein, oder starten Sie ihn neu. Klicken 
Sie unter Microsoft Windows auf Start > Beenden > Neu 
starten. 

2. Driicken Sie sofort nach dem Einschalten des Computers die 
Taste F10, und halten Sie sie gedriickt, bis Computer Setup 
gestartet wird. 



Wenn Sie F 10 nicht zum richtigen Zeitpunkt driicken, miissen 

Sie den Computer erneut starten und die Taste F 1 0 gedriickt halten, 

um das Dienstprogramm aufzurufen. 



3. Wahlen Sie mit den Pfeiltasten die Option Set Supervisor 
Password (Supervisor-Kennwort einrichten), und driicken 
Sie dann die Eingabetaste. 

4. Geben Sie das gewiinschte Kennwort ein, und driicken Sie 
die Eingabetaste. 
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5. Starten Sie den Computer neu. Klicken Sie unter Microsoft Windows 
auf Start > Beenden > Neu starten. 

6. Sobald die Meldung Press any key to enter TPM Configuration 

(Beliebige Taste fur die TPM-Konfiguration driicken) angezeigt 
wird, driicken Sie eine Taste. 

7. Geben Sie das Supervisor-Kennwort ein, und driicken Sie die 
Eingabetaste. 

8. Driicken Sie E, um den TPM-Chip zu aktivieren. 
Der Chip ist nun aktiviert. 



Initialisieren des Embedded Security-Chips 



<g^v In den meisten Fallen wird der Embedded Security-Chip vom 
Systemadministrator initialisiert. 

1. Klicken Sie mit der rechten Maustaste auf das Symbol HP 
ProtectTools in der Taskleiste und anschlieBend mit der linken 
Maustaste auf Embedded Security Initialization (Embedded 
Security initialisieren). 

Der HP ProtectTools Embedded Security Initialization 
Wizard (Assistent fur die Initialisierung von HP ProtectTools 
Embedded Security) wird aufgerufen. 

2. Klicken Sie auf Next (Weiter). 

3. Geben Sie ein Besitzerkennwort ein, und bestatigen Sie es. 
Klicken Sie dann auf Next (Weiter). 

Nehmen Sie die Eingabe sorgfaltig vor. Aus Sicherheitsgriinden 
werden die eingegebenen Zeichen auf dem Bildschirm nicht angezeigt. 



4. Klicken Sie auf Next (Weiter), um das Standardverzeichnis 
fur das Wiederherstellungsarchiv zu ubernehmen. 

5. Geben Sie ein Kennwort fur das Wiederherstellungs-Token ein, 
und bestatigen Sie es. Klicken Sie dann auf Next (Weiter). 
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6. Klicken Sie auf Browse (Durchsuchen), und wahlen Sie den 
gewunschten Speicherort aus. 

AACHTUNG: Der Schlussel fur das Wiederherstellungs-Token (Emergency 
Recovery Token Key) wird im Falle eines Computerschadens oder einer 
Beschddigung des Embedded Security-Chips fur die Wiederhersfellung 
der verschlusselten Daten benotigt. Die Daten konnen ohne diesen Schlussel 
nicht wiederhergestellf werden. (Fur den Zugriff auf die Daten wird auBerdem 
das Basic-User-Kennwort benotigt.) Bewahren Sie diesen Schlussel an einem 
sicheren Ort auf. 



7. Klicken Sie auf Save (Speichern), um das Verzeichnis und den 
Standarddateinamen zu iibernehmen. Klicken Sie dann auf Next 
(Weiter). 

8. Klicken Sie auf Next (Weiter), um die Einstellungen zu 
bestatigen, bevor die Sicherheitsplattform initialisiert wird. 

AACHTUNG: Gegebenenfalls wird eine Meldung mit dem Hinweis 
angezeigt, dass die Embedded Security-Funktionen nicht initialisiert 
wurden. Klicken Sie nicht auf die Meldung, da darauf zu einem spdteren 
Zeitpunkt eingegangen und die Meldung nach einigen Sekunden wieder 
ausgeblendet wird. 



9. Wenn das Benutzerkonto jetzt eingerichtet werden soil, vergewissern 
Sie sich, dass das Kontrollkastchen Start Embedded Security 
User Initialization Wizard (Assistent fur die Benutzerinitialisierang 
von Embedded Security starten) aktiviert ist. Klicken Sie auf 
Finish (Fertig stellen). 



Einrichten eines Benutzerkontos 

Beim Einrichten eines Benutzerkontos: 

■ wird ein Basic User-Schlussel zum Schutz der verschlusselten 
Daten erstellt 

■ wird ein PSD zum Speichern von verschlusselten Dateien und 
Ordnern erstellt 



AACHTUNG: Bewahren Sie das Basic-User-Kennwort sorgfdltig auf. 
Der Zugriff auf verschlusselte Daten oder ihre Wiederherstellung ist 
ohne dieses Kennwort nicht moglich. 
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So richten Sie ein Basic-User-Konto ein und aktivieren die 
B enutzersicherheitsf unktionen : 

1. Wenn der Embedded Security User Initialization Wizard 

(Assistent fur die Benutzerinitialisierung von Embedded Security) 
nicht geoffnet ist, klicken Sie mit der rechten Maustaste auf das 
Symbol HP ProtectTools in der Taskleiste und anschlieBend mit 
der linken Maustaste auf Embedded Security User Initialization 
(Benutzerinitialisierung von Embedded Security). 

Der Embedded Security User Initialization Wizard 

(Assistent fur die Benutzerinitialisierung von Embedded Security) 
wird aufgerufen. 

2. Klicken Sie auf Next (Weiter). 

3. Geben Sie ein Kennwort fur den Basic-User-Schlussel ein, und 
klicken Sie dann auf Next (Weiter). 



Nehmen Sie die Eingabe sorgfaltig vor. Aus Sicherheitsgriinden 
werden die eingegebenen Zeichen auf dem Bildschirm nicht 
angezeigt. 



4. Klicken Sie auf Next (Weiter), um die Einstellungen zu bestatigen. 

5. Wahlen Sie die gewiinschten Sicherheitsfunktionen aus, und 
klicken Sie auf Next (Weiter). 

6. Klicken Sie auf Next (Weiter), um Hilfedateien zu ubergehen. 

7. Wenn mehr als ein Verschlusselungszertifikat vorhanden ist, 
klicken Sie auf das gewunschte Zertifikat. 

Klicken Sie auf Next (Weiter), um das Verschlusselungszertifikat 
anzuwenden. 

8. Konfigurieren Sie das PSD mit den gewiinschten Einstellungen, 
und klicken Sie auf Next (Weiter). 

9. Konfigurieren Sie das PSD erneut mit den gewiinschten 
Einstellungen, und klicken Sie auf Next (Weiter). 



Die MindestgroBe fur das PSD sind 50 MB, die maximale GroBe 
betragt 2.000 MB. 



HP ProtectTools Embedded Security Handbuch 



www.hp.com 



1 1 



HP ProtectTools Embedded Security 



10. Klicken Sie auf Next (Weiter), um die Einstellungen zu bestatigen. 



Je nach GroBe des PSD-Laufwerks kann es einige Minuten dauern, 
bis der Computer die Bestatigung verarbeitet hat. 



11. Klicken Sie auf Finish (Fertig stellen). 

12. Klicken Sie auf Yes (Ja), um den Computer neu zu starten. 

Hdufig durchgefuhrte Aufgaben 

In diesem Abschnitt werden grundlegende Aufgaben erlautert, die 
von Benutzern und Besitzern am haufigsten durchgefiihrt werden. 

Benutzeraufgaben 

Zu den grundlegenden Benutzeraufgaben gehort das Einrichten des 
PSD-Laufwerks, das Verschliisseln von Dateien und Ordnern sowie 
das Senden und Empfangen von E-Mail mit Verschliisselung und/oder 
digitalen Signaturen. 

Verwenden des PSD-Laufwerks 

Um das PSD nutzen zu konnen, miissen Sie Ihr PSD-Kennwort eingeben. 
Daraufhin wird das PSD angezeigt, und die Dateien werden entschlusselt. 
Das PSD kann wie jedes andere Laufwerk verwendet werden. 

Melden Sie sich ordnungsgemaB ab, wenn Sie die Arbeit mit dem 
PSD beendet haben. Das PSD wird dann automatisch ausgeblendet. 
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Verschlusseln von Dateien und Ordnern 

Beachten Sie beim Arbeiten mit EFS unter Windows 2000 und 
Windows XP Professional Folgendes: 

■ Nur Dateien und Ordner auf NTFS-Partitionen konnen verschliisselt 
werden. (Dateien und Ordner auf FAT-Partitionen konnen nicht 
verschliisselt werden.) 

■ Systemdateien und komprimierte Dateien konnen nicht verschliisselt 
werden, und umgekehrt konnen verschlusselte Dateien nicht 
komprimiert werden. 

■ Temporare Ordner sollten verschliisselt werden, da temporare 
Dateien von potenziellem Interesse fur Unbefugte sind. 

■ Bei der ersten Verschliisselung einer Datei oder eines Ordners 
wird automatisch eine Wiederherstellungsrichtlinie erstellt. 
Dadurch wird sichergestellt, dass Benutzer, die ihre Zertifikate 
und privaten Schlussel verlieren, einen Wiederherstellungs- Agent 
verwenden konnen, um ihre Daten zu entschliisseln. 

So verschlusseln Sie Dateien und Ordner: 

1. Wahlen Sie die Datei oder den Ordner aus, den Sie verschlusseln 
mochten. 

2. Klicken Sie mit der rechten Maustaste oder dem Touchpad. 

3. Klicken Sie auf Verschlusseln. 

4. Klicken Sie entweder auf Anderungen nur fur diesen 
Ordner iibernehmen oder auf Anderungen fur diesen 
Ordner, Unterordner und Dateien iibernehmen. 

5. Klicken Sie auf OK. 
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Senden und Empfangen von E-Mail mit Verschlusselung 
und/oder digitalen Signaturen 

Anleitungen zum digitalen Unterzeichnen und Verschlusseln von 
E-Mail finden Sie in der Online-Hilfe zum E-Mail-Client. 



Um sichere E-Mail zu nutzen, miissen Sie zuerst den E-Mail-Client 
fur die Verwendung eines digitalen Zertifikats konfigurieren, das 
mithilfe von Embedded Security erstellt wird. Wenn kein digitales 
Zertifikat verfugbar ist, miissen Sie sich von einer Zertifizierungsbehorde 
ein Zertifikat ausstellen lassen. Anleitungen zum Konfigurieren von 
E-Mail und zum Erwerb eines digitalen Zertifikats finden Sie in der 
Online-Hilfe zum E-Mail-Client. 

Zum Senden einer verschliisselten E-Mail-Nachricht benotigen Sie 
eine Kopie des offentlichen Schlussels oder Verschliisselungszertifikats 
des Empfangers. (Das Zertifikat enthalt eine Kopie des offentlichen 
Schlussels des Empfangers.) 

Microsoft Outlook verwendet den offentlichen Schliissel des Empfangers, 
um Ihre E-Mail zu verschlusseln. Daher werden Sie nicht aufgefordert, 
Ihren privaten Schliissel einzufugen. Sie benotigen Ihren privaten Schliissel 
jedoch, um eine verschlusselte E-Mail zu lesen. Derm zur Entschliisselung 
wird der private Schliissel benotigt, der dem offentlichen Schliissel 
entspricht, mit dem die E-Mail verschliisselt wurde. 



Administratoraufgaben 

Der Administrator kann eine Reihe von Aufgaben ausfiihren, von 
denen einige nachstehend beschrieben werden. Weitere Informationen 
finden Sie in der Hilfe zu HP ProtectTools Embedded Security. 
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Migration von Schlusseln mit dem Assistenten 
fur Sicherheitsmigration 

Die Migration ist eine fortgeschrittene Administratoraufgabe, die die 
Verwaltung, Wiederherstellung und Ubertragung von Schlusseln und 
Zertifikaten umfasst. 

Der erste Schritt bei der Migration ist die Autorisierung, Einrichtung 
und Verwaltung des Migrationsprozesses. Sofort nach der Autorisierung 
kann der Benutzer Schlussel und Zertifikate vom Quellcomputer zum 
Zielcomputer exportieren bzw. importieren. 

Ausfuhrliche Informationen zur Migration fmden Sie in der Hilfe zu 
HP ProtectTools Embedded Security. 

Wiederherstellen von Daten 

Wenn der Embedded Security-Chip beschadigt oder zuriickgesetzt wurde: 

■ Mithilfe des Wiederherstellungs-Assistenten konnen Daten aus 
dem PSD wiederhergestellt werden. 

■ Das PSD unterstiitzt auBerdem die Wiederherstellung durch den 
Einsatz eines Wiederherstellungs-Agent, dessen Funktionsweise 
in hohem MaBe dem EFS entspricht. 

Um festzustellen, ob sich ein registrierter Wiederherstellungs- 
Agent auf dem Computer befmdet, klicken Sie auf Start > Alle 
Programme > Administrator Tools > Local Security Policy 
(Lokale Sicherheitsrichtlinie) > Public Key Policies (Richtlinien 
fur offentliche Schlussel) > Encrypted Data Recovery Agents 
(Wiederherstellungs-Agenten fur verschlusselte Daten). 

Weitere Informationen linden Sie in der Online-Hilfe zum Betriebssystem. 

Windows XP Professional erstellt nicht automatisch einen registrierten 
Wiederherstellungs-Agent. Folgen Sie den Anleitungen des 
Betriebssystems, um den registrierten Wiederherstellungs-Agent 
einzurichten. 

Zum Wiederherstellen von Daten benotigt der registrierte 
Wiederherstellungs-Agent das digitale Zertifikat und die Schlussel. 
Es empfiehlt sich, das fur die Wiederherstellung benotigte Zertifikat 
und den privaten Schlussel auf einen Datentrager zu exportieren, diesen 
an einem sicheren Ort aufzubewahren und den privaten Schlussel aus 
dem Computer zu loschen. Die einzige Person, die Daten wiederherstellen 
kann, ist der Benutzer, der iiber den physischen Zugang zu dem privaten 
Schlussel fur die Datenwiederherstellung verfiigt. 
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Wiederherstellen der Standardvoreinstellungen des Embedded 
Security-Chips iiber Computer Setup 

AACHTUNG: Bei der Durchfuhrung dieser Aufgabe wird der Besitz des 
Embedded Security-Chips wieder freigegeben. Dies bedeutet, dass dann 
jede beliebige Person den Embedded Security-Chip initialisieren kann. 

Bei der Wiederherstellung der Standardvoreinstellungen des Embedded 
Security-Chips konnen Daten verloren gehen, wenn verschlusselte Dateien 
vorhanden sind. 



So setzen Sie den Embedded Security-Chip auf die 
Standardvoreinstellungen zuriick: 

1. Schalten Sie den Computer ein, oder starten Sie ihn neu. Klicken 
Sie unter Microsoft Windows auf Start > Beenden > Neu starten. 

2. Sobald die Meldung Press any key to enter TPM Configuration 

(Beliebige Taste fur die TPM-Konfiguration driicken) angezeigt 
wird, driicken Sie eine Taste. 

3. Geben Sie das Supervisor-Kennwort ein, und driicken Sie die 
Eingabetaste. 

4. Driicken Sie C, um die Daten auf dem TPM-Chip zu loschen. 

5. Driicken Sie Y, um den Vorgang zu bestatigen. 
Die Daten auf dem Chip sind nun geloscht. 

Empfohlene Vorgehensweisen 

HP empfiehlt bei der Verwendung von Embedded Security die 
Befolgung der nachstehenden Hinweise. 

■ Ein IT-Sicherheitsadministrator sollte das BlOS-Supervisor- 
Kennwort in Computer Setup einrichten und den Embedded 
Security-Chip initialisieren, bevor der Computer Benutzern 
zugewiesen wird. 

■ Ein IT-Sicherheitsadministrator sollte beim Einrichten der Embedded 
Security-Losung das Wiederherstellungsarchiv erstellen und 

die Benutzer bitten, ihre Daten regelmaBig zu speichern und 
Sicherungskopien zu erstellen. Bei einem Systemausfall ist dies 
die einzige Moglichkeit zur Wiederherstellung von verschlusselten 
Daten. Das Wiederherstellungsarchiv und das Wiederherstellungs- 
Token sollten jeweils separat gespeichert werden. 
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■ Verschliisseln Sie Ordner und nicht einzelne Dateien, damit die 
temporaren Dateien, die bei der Bearbeitung erstellt werden, ebenfalls 
verschliisselt werden. 

■ Verschliisseln Sie sensible Daten auf Computern, die zu einer 
Domane gehoren. Dadurch sind die Daten gegen offline durchgefiihrte 
kryptographische Angriffe geschiitzt. 

■ Erstellen Sie regelmaBig Sicherungskopien des Servers, auf dem 
Server-basierte verschliisselte Daten gespeichert sind. Dadurch 
wird sichergestellt, dass im Wiederherstellungsfall die Profile, 
die Schlussel fiir die Entschliisselung enthalten, ebenfalls 
wiederhergestellt werden konnen. 

■ Wenn Sie Dateitypen verschliisseln, die von System Restore 
iiberwacht werden, stellen Sie die Dateien auf einen Datentrager, 
der nicht von System Restore iiberwacht wird. 

■ Das System unterstiitzt nicht mehrere Verschliisselungsebenen 
Zum Beispiel sollte ein Benutzer keine EFS-verschliisselte Datei 
im PSD speichern oder versuchen, eine Datei zu verschliisseln, 
die sich bereits im PSD befindet. 

Hdufig gestellte Fragen 

Woher weiB ich, ob mein Computer iiber einen HP ProtectTools 
Embedded Security-Chip verfiigt? 

Der Chip ist eine im System installierte Hardware-Komponente. 
Die Komponente wird im Gerate-Manager aufgelistet. 

Wo erhalte ich die HP ProtectTools Embedded Security-Software? 

Sie konnen die Software, die Treiber und die Online-Hilfe von der 
HP Website unter http://www.hp.com/products/security herunterladen. 

Kann die HP ProtectTools Embedded Security-Software 
deinstalliert werden? Und falls ja, wie? 

Ja Die Deinstallation wird mit dem Standardverfahren zum Deinstallieren 
von Windows Software durchgefiihrt. Sichern Sie benutzerspezifische, 
geschiitzte Daten, bevor Sie mit der Deinstallation beginnen. Sonst 
gehen diese Daten verloren. Der letzte Schritt bei der Deinstallation 
besteht darin, den Chip zu deaktivieren. 
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1. Schalten Sie den Computer ein, oder starten Sie ihn neu. Klicken 
Sie unter Microsoft Windows auf Start > Beenden > Neu starten. 

2. Sobald die Meldung Press any key to enter TPM Configuration 

(Beliebige Taste fur die TPM-Konfiguration driicken) angezeigt 
wird, driicken Sie eine Taste. 

3. Geben Sie das Supervisor-Kennwort ein, und driicken Sie die 
Eingabetaste. 

4. Driicken Sie D, um den TPM-Chip zu deaktivieren. 
Der Chip ist nun deaktiviert. 

Fehlerbehebung 

Bei mir funktioniert Embedded Security nicht. Was muss ich tun? 

1. Klicken Sie mit der rechten Maustaste auf das Symbol 
HP ProtectTools in der Taskleiste und anschlieBend mit 
der linken Maustaste auf Manage Embedded Security 

(Embedded Security verwalten). 

2. Klicken Sie auf Embedded Security > Info > Self Test 

(Embedded Security > Info > Selbsttest). 

Uberpriifen Sie auBerdem die Einstellungen unter Embedded 
Security State, Chip, Owner (Embedded Security-Status, Chip, 
Besitzer) und User (Benutzer). 

Ich habe mein System nach einem Absturz wiederhergestellt. 
Was muss ich jetzt tun? 

AACHTUNG: In den meisfen Fallen Rihrt der Systemadministrator diese 
Schritte durch. Bei nicht ordnungsgemaBer Durchfuhrung konnen Dafen 
unwiderruflich verloren gehen. 



18 



www.hp.com 



HP ProtectTools Embedded Security Handbuch 



HP ProtectTools Embedded Security 



Zur Wiederherstellung von Daten nach dem Austauschen des 
ProtectTools-Chips benotigen Sie Folgendes: 

■ SPEmRecToken.xml - Schlussel fur das Wiederherstellungs- 
Token (Emergency Recovery Token Key) 

■ SPEmRecArchive.xml - Ausgeblendeter Ordner, 
Standardverzeichnis: C:\Documents and Settings\All Users\ 
Application DataMnfineonYTPM Software\Recovery Archive 
(C:\Dokumente und Einstellungen\Alle Benutzer\ Anwendungsdaten\ 
Infineon\TPM-Software\Wiederherstellungsarchiv) 

■ ProtectTools-Kennworter 

□ Supervisor 

□ Besitzerkennwort 

□ Kennwort fur das Wiederherstellungs-Token 
(Emergency Recovery Token) 

□ Basic-User- Kennwort 

1. Schalten Sie den Computer ein, oder starten Sie ihn neu. Klicken 
Sie unter Microsoft Windows auf Start > Beenden > Neu starten. 

2. Sobald die Meldung Press any key to enter TPM Configuration 

(Beliebige Taste fur die TPM-Konfiguration driicken) angezeigt 
wird, driicken Sie eine Taste. 

3. Geben Sie das Supervisor-Kennwort ein, und driicken Sie die 
Eingabetaste. 

4. Driicken Sie C, um die Daten auf dem TPM-Chip zu loschen. 

5. Driicken Sie Y, um den Vorgang zu bestatigen. 

6. Starten Sie den Computer neu. Klicken Sie unter Microsoft Windows 
auf Start > Beenden > Neu starten. 

7. Sobald die Meldung Press any key to enter TPM Configuration 

(Beliebige Taste fur die TPM-Konfiguration driicken) angezeigt 
wird, driicken Sie eine Taste. 

8. Geben Sie das Supervisor-Kennwort ein, und driicken Sie die 
Eingabetaste. 

9. Driicken Sie E, um den TPM-Chip zu aktivieren. 
Der Chip ist nun aktiviert. 
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10. Klicken Sie nach dem Offnen von Windows mit der rechten 
Maustaste auf das Symbol HP ProtectTools Embedded 
Security in der Taskleiste und anschlieBend mit der linken 
Maustaste auf Embedded Security Initialization (Embedded 
Security initialisieren). 

11. Aktivieren Sie das Kontrollkastchen: I want to restore the 
existing Embedded Security (Bestehende Embedded Security 
wiederherstellen), und klicken Sie dann auf Next (Weiter). 

12. Geben Sie das urspriingliche Besitzerkennwort ein, und 
bestatigen Sie es. Klicken Sie auf Next (Weiter). 

13. Klicken Sie auf Do not create a recovery archive (Kein 
Wiederherstellungsarchiv erstellen) und anschlieBend auf 
Next (Weiter). 

AACHTUNG: Wenn ein neues Archiv erstellt wird, gehen alle Daten 
verloren, da das fur die Wiederherstellung erforderliche Archiv 
uberschrieben wird. 



14. Klicken Sie auf Yes (Ja), um fortzufahren, ohne ein 
Wiederherstellungsarchiv zu erstellen. 

15. Klicken Sie auf Next (Weiter), um die Einstellungen zu bestatigen. 

16. Klicken Sie auf Browse (Durchsuchen), und suchen Sie das 
Wiederherstellungsarchiv im folgenden Standardverzeichnis: 
C:\Documents and Settings\ All Users\Application DataMnfmeon\ 
TPM Software\RecoveryArchive\SPEmRecArchive.xml 
(C:\Dokumente und Einstellungen\ Alle Benutzer\ Anwendungsdaten\ 
Infineon\TPM-Software\Wiederherstellungsarchiv\ 
SPEmRecArchive.xml) 

17. Klicken Sie auf Open (Offnen) und auf Next (Weiter). 

18. Klicken Sie auf Browse (Durchsuchen), und suchen Sie das 
Wiederherstellungs-Token, das bei der ersten Initialisierung 
von HP ProtectTools Embedded Security erstellt wurde. 
Klicken Sie auf das Token und auf Open (Offnen). 

19. Geben Sie das Token- Kenn wort ein, und klicken Sie auf 
Next (Weiter). 

20. Wahlen Sie den Computernamen aus, und klicken Sie auf 
Next (Weiter). 
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21. Klicken Sie auf Next (Weiter), um die Einstellungen zu bestatigen. 

Wenn iiber eine Meldung angezeigt wird, dass die Wiederherstellung 
fehlgeschlagen ist, gehen Sie zu Schritt 1 zuriick. Uberpriifen Sie 
sorgfaltig die Kennworter, den Speicherort und den Namen des 
Token sowie den Speicherort und den Namen des Archivs. 

22. Wenn das Benutzerkonto jetzt eingerichtet werden soil, vergewissern 
Sie sich, dass das Kontrollkastchen Start Embedded Security 
User Initialization Wizard (Assistent fur die Benutzerinitialisierung 
von Embedded Security starten) aktiviert ist. Klicken Sie auf Finish 
(Fertig stellen). 

Mit den Schritten 23 bis 35 werden die Basic-User-Schlussel 
wiederhergestellt. Diese Schritte miissen fur jeden Benutzer separat 
durchgefiihrt werden. 



23. Wenn der Embedded Security User initialization Wizard 

(Assistent fur die Benutzerinitialisierung von Embedded Security) 
nicht geoffnet ist, klicken Sie mit der rechten Maustaste auf das 
Symbol HP ProtectTools Embedded Security in der Taskleiste 
und anschlieBend mit der linken Maustaste auf Restore Embedded 
Security Features (Embedded Security-Funktionen wiederherstellen). 

Der Embedded Security User Initialization Wizard (Assistent 
fur die Benutzerinitialisierung von Embedded Security) wird 
aufgerufen. 

24. Klicken Sie auf Next (Weiter). 

25. Klicken Sie auf Recover your basic user key (Eigenen Basic- 
User-Schliissel wiederherstellen) und dann auf Next (Weiter). 

26. Wahlen Sie einen Benutzer aus, geben Sie das urspriingliche 
Kennwort fur den Basic-User-Schlussel fur diesen Benutzer 
ein, und klicken Sie dann auf Next (Weiter). 

27. Klicken Sie auf Next (Weiter), um die Einstellungen zu bestatigen 
und das Standardverzeichnis fiir die Wiederherstellungsdaten zu 
iibernehmen. 

28. Wahlen Sie die gewunschten Sicherheitsfunktionen aus, und 
klicken Sie auf Next (Weiter). 

29. Klicken Sie auf Next (Weiter), um Hilfedateien zu iibergehen. 
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30. Wenn mehr als ein Verschliisselungszertifikat vorhanden ist, 
klicken Sie auf das gewunschte Zertifikat. 

Klicken Sie auf Next (Weiter), um das Verschliisselungszertifikat 
anzuwenden. 

31. Klicken Sie auf I want to change my Personal Secure Drive 
settings (PSD-Einstellungen andern) und dann auf Next (Weiter). 

32. Bestatigen Sie die Sicherheitsfunktionen, und klicken Sie auf 
Next (Weiter). 

33. Bestatigen Sie die Einstellungen, und klicken Sie auf Next (Weiter). 

34. Geben Sie das PSD-Kennwort ein, und klicken Sie auf OK. 

35. Klicken Sie auf Finish (Fertig stellen) und dann auf Yes (Ja), 
um einen Neustart durchzufuhren. 



AACHTUNG: Bewahren Sie das Basic-User-Ken nwort sorgfdltig auf. 
Der Zugriff auf verschlusselte Daten oder ihre Wiederherstellung ist 
ohne dieses Kennwort nichf moglich. 



Glossar 

Digitale Signatur - Eine Funktion, die verwendet wird, um die 
Identitat des Absenders eines digitalen Dokuments sicherzustellen 
und zu bestatigen, dass der Inhalt nicht geandert wurde, nachdem 
der Absender das Dokument unterzeichnet hat. 

Digitale Zertifikate - Elektronische Beglaubigungen, die die 
Identitat einer Person oder eines Unternehmens bestatigen, indem 
sie die Identitat des Zertifikatsbesitzers mit zwei elektronischen 
Schliisseln verkniipfen, die zum Unterzeichnen digitaler 
Informationen verwendet werden. 

EFS (Encryption File System) - Verschliisselungsdateisystem. 
Bei diesem System werden in einem ausgewahlten Ordner alle 
Dateien und Unterordner verschltisselt. 

Entschlusselung - Jedes in der Kryptographie verwendete Verfahren 
zum Umwandeln von Chiffretext (verschlusselte Daten) in Klartext. 
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Kryptographie - Theorie und Praxis der Verschliisselung und 
Entschliisselung. Das Kodieren von Daten, sodass sie nur von 
bestimmten Personen dekodiert werden konnen. Ein System zum 
Verschliisseln und Entschlusseln von Daten wird als Kryptosystem 
bezeichnet. Dazu gehort in der Regel ein Algorithmus zum Kombinieren 
der urspriinglichen Daten („Klartext") mit einem oder mehreren 
„Schlusseln" (Zahlen oder Zeichenfolgen, die nur dem Absender 
und/oder dem Empfanger bekannt sind). Das Ergebnis wird als 
„Chiffretext" bezeichnet. 

Kryptographischer Dienstanbieter (CSP) - Ein Anbieter oder 
eine Bibliothek von kryptographischen Algorithmen, die in einer 
angemessen defmierten Schnittstelle zur Durchfiihrung bestimmter 
kryptographischer Aufgaben verwendet werden konnen. 

Migration - Eine Aufgabe, die die Verwaltung, Wiederherstellung 
und Ubertragung von Schlusseln und Zertifikaten umfasst. 

PKI-Infrastruktur (Public Key Infrastructure) - Ein Standard 
zur Definition der Schnittstellen zum Erstellen, Verwenden und 
Verwalten von Zertifikaten und kryptographischen Schlusseln. 

PSD (Personal Secure Drive) - Personliches sicheres Laufwerk. 
Das PSD bietet einen geschiitzten Speicherbereich fur sensible Daten. 

TPM-Modul (Trusted Platform Module) - Bietet Datensicherheit 
auf Hardware-Ebene. Der im System installierte Embedded Security- 
Chip kann die Systemintegritat iiberpriifen und Drittbenutzer, die auf 
die Plattform zugreifen, authentifizieren, und bleibt dabei unter 
vollstandiger Kontrolle seines primaren Benutzers. 

Verschliisselung - Algorithmus, Kryptographie. Jedes in der 
Kryptographie verwendete Verfahren zum Umwandeln von Klartext 
in Chiffretext, um zu verhindern, dass die Daten von Unbefugten 
gelesen werden. Es gibt viele Arten der Datenverschliisselung, und 
sie bilden die Basis fur die Netzwerksicherheit. Gangige Arten sind 
DES (Data Encryption Standard, Datenverschliisselungsstandard) 
und Kryptographie auf der Basis offentlicher Schliissel 
(Public-Key-Kryptographie). 
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Wiederherstellungsarchiv - Ein geschutzter Speicherbereich, der 
die erneute Verschlusselung von Basic-User-Schliisseln von einem 
Schliissel des Plattformbesitzers zu einem anderen Schliissel ermoglicht. 

Zertifizierungsbehdrde (CA) - Ein Dienst zur Ausstellung der 
Zertifikate, die fur eine auf offentlichen Schliisseln basierende 
PKI-Infrastruktur (Public Key Infrastructure) erforderlich sind. 
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